在openssh Red Hat包中,我注意到ssh-agent可执行文件具有SGID权限集:
$ls -l /usr/bin/ssh-agent -rwxr-sr-x 1 root nobody 113648 Nov 24 2010 /usr/bin/ssh-agent
为什么openssh开发人员希望ssh-agent与nobody组一起运行?或者我可能误解了SGID的作用?
解决方法
好吧,我的是对ssh小组的讽刺.我猜你是在RedHat派生的系统上;他们喜欢滥用无人用户/群组.
一些谷歌搜索表明setgid是为了防止一个安全漏洞,通过ptracing代理获得秘密密钥材料(http://comments.gmane.org/gmane.linux.debian.devel.ssh/59).使进程setgid-anything意味着非root(或至少非CAP_SYS_PTRACE)用户的ptracing是EPERMed.
